Когда речь идет о безопасности корпоративных данных, идеальный вариант со многих точек зрения — предоставить пользователю стерильную рабочую среду, созданную не им самим, а ИТ-службой.
Такая среда содержит только те инструменты и данные, которые необходимы пользователю непосредственно для решения его задач и выполнения бизнес-процессов — от полноценной Windows-среды в форме виртуальной машины (рабочего стола) до отдельного опубликованного приложения, доступ к которым пользователь получает через терминальную сессию.
Кроме использования терминальных сред в офисах, значительная часть бизнеса использует схему с дистанционной занятостью, когда работодатель не создает стационарных рабочих мест в каком-либо из регионов своего присутствия, но вступает в трудовые отношения с работником для реализации целей и задач бизнеса — и предоставляет возможность работы из дома через сеансы удаленного рабочего стола.
Корпоративные данные в модели организации работы через терминальные среды независимо от физического размещения терминальных клиентов (в офисе, дома, в других местах) хранятся и обрабатываются строго на стороне корпоративной среды, пользователю же в терминальной сессии предоставляется только результат обработки. Нередко встречается сценарий, когда сервера компании размещаются в облаке, а сотрудники офиса работают с данными из облака через терминальную среду. Часто в облако помещается корпоративный почтовый сервер, а пользователи получают доступ к почте посредством опубликованного приложения (например, MicrosoftOutlook в среде CitrixXenApp), запускаемого на внешнем сервере. Другой широко распространенный сценарий, особенно в среднем и малом бизнесе — это терминальный доступ к бухгалтерским и финансовым системам.
Предоставленная через терминальный доступ виртуальная среда на ее корпоративной стороне сразу содержит элементы защиты среды передачи данных, антивирусную защиту и другие средства ИБ. Другая сторона виртуализации — это личная зона пользователя.
Одним из преимуществ виртуализации является то, что пользователь может получить защищенный доступ к корпоративной среде с помощью любого типа компьютеров и персональных устройств — тонкий клиент, лэптоп, планшет, смартфон. Все, что нужно сотруднику — это клиент для удаленного доступа по протоколу RDPили ICA(например, CitrixReceiver), или же в качестве терминального клиента используется любой веб-браузер, поддерживающий HTML5.
Недостаток же кроется в рисках потери контроля за корпоративными данными, попавшими в личную зону пользователя. Сама по себе терминальная среда ограничивает доступ пользователей к данным на серверах, сужая их ровно до той части, которая нужна для выполнения своих задач — но не гарантирует, что эти данные не могут быть использованы сотрудником, скопированные из терминальной сессии на личное устройство или перенесенные на подключенные к нему другие устройства — накопители, принтеры и др. Внесение элементов безопасности и предотвращение утечек данных, переносимых из терминальной среды в личное устройство, непосредственно на персональных устройствах теоретически возможно. Однако практически либо не реализуемо вообще (личные устройства всегда остаются личными), либо реализуемо с огромными усилиями как организационного, так и технического характера. Следует учитывать сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие гарантий предоставления личного устройства службе ИТ, избыточная уязвимость самих решений и т. д.
Наконец, при всех плюсах удаленной работы, которые очевидны для сотрудника и бизнеса с точки зрения продуктивности работы, у подразделения, отвечающего за информационную безопасность, возникает резонный вопрос — с чем и как будет работать такой сотрудник вне стен офиса? Насколько ответственно он относится к обеспечению безопасности своих мобильных устройств или домашнего компьютера? Как обеспечить безопасность и сохранность данных, с которыми он работает в силу своих бизнес-задач?
Как следствие, службе ИБ после создания стерильной среды пользователя, доступной через терминальные сессии, стоит позаботиться о внедрении средств контроля передачи данных из терминальной сессии на устройство пользователя непосредственно в виртуальную среду. Что-то можно реализовать средствами самого терминального сервера, что-то — за счет сторонних решений класса DataLeakPrevention (DLP), поддерживающих контроль устройств, перенаправляемых в терминальную сессию, наравне с контролем сетевых коммуникаций, доступных на корпоративной стороне.
Основная проблема, которую должна решать такая DLP-система в отношении виртуальных и терминальных сред, — это контроль переноса корпоративных данных на удаленные компьютеры и мобильные устройства из терминальных и виртуальных сред. DLP-политики для терминальных сред призваны обеспечить контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными с удаленных рабочих компьютеров периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными, а также каналы сетевых коммуникаций. Кроме того, необходимо обеспечить централизованное журналирование действий пользователя, теневое копирование переданных им файлов и данных, тревожные оповещения в случае выявления инцидентов безопасности.
Рассмотрим общий сценарий: сотруднику, работающему на тонком клиенте, предоставляется терминальный доступ к корпоративной рабочей среде, организованной в виде опубликованного бизнес-приложения. В целях повышения производительности и эффективности работы пользователя на его компьютере локально подключаемые периферийные устройства и буфер обмена перенаправляются в терминальную сессию. В частности, это объясняется необходимостью печати доступных через терминальную сессию документов на локально подключенном принтере, а также иметь возможность копировать и вставлять данные через буфер обмена из/в бизнес-приложение, с которым пользователь работает в терминальной сессии.
В качестве частного сценария можно назвать случай, когда специалисту финансового отдела разрешено использование флеш-накопителей для сохранения конфиденциальной финансовой информации при работе в офисе (с рабочего компьютера), но не допускается запись на накопители таких документов, полученных через сеансы удаленного рабочего стола, при работе с ноутбука в командировках или дома. Запись на накопитель прочих документов должна протоколироваться с созданием теневой копии в целях последующего анализа и контроля.
При этом предполагается, что содержимое документа (или данных), передаваемых через перенаправленные устройства или буфер обмена данными вовне терминальной сессии, полностью соответствует корпоративной политике безопасности и не содержит недопустимых для утечки данных (т. е. нарушающих корпоративную политику безопасности или иные регулирующие правительственные и отраслевые нормы). Это означает, что помимо контроля доступа к перенаправленным в терминальную среду устройствам необходимо также анализировать содержание файлов, чтобы предотвратить утечку именно конфиденциальной информации — не блокируя при этом передачу данных, к такой категории не относящихся.
В условиях перенаправления локальных периферийных устройств и буфера обмена с удаленного терминала на терминальный сервер DLP-решение, функционируя на виртуальной машине или терминальном сервере, доступ к которым пользователь получает через терминальную сессию, должно перехватывать их и в режиме реального времени осуществлять проверку допустимости использования перенаправленных локальных устройств и специфических операций с данными, а также проверять содержимое (контент) передаваемых данных — т. е. производить контентный анализ данных на предмет их соответствия DLP-политикам, заданным для этого пользователя при использовании терминальных сессий. В случае выявления нарушения заданных DLP-политик операция передачи данных прерывается, при этом создается соответствующая запись в журнале событийного протоколирования и теневая копия данных, которые пользователь пытался передать через контролируемые устройства в терминальной сессии, а также создается тревожное оповещение для обработки в рамках менеджмента инцидентов ИБ.
Таким образом, при наличии заданных DLP-политик, определяющих допустимость использования корпоративных данных, DLP-система должна гарантировать, что передача данных ограниченного доступа пользователем находится строго внутри границ виртуальной среды (терминальной сессии), и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (от тонкого клиента или домашнего компьютера до мобильного устройства любого типа), оставаясь при этом доступными для эффективного выполнения бизнес-задач.
Благодаря использованию DLP-решения, обладающего полноценным функционалом контроля потоков данных между терминальным сервером и удаленным терминалом, обеспечивается полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, homeoffice, облачные корпоративные сервера), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей — компании при необходимости могут полностью контролировать корпоративные среды, переданные на персональные устройства сотрудников. Кроме того, службы ИБ могут отслеживать, проверять и отфильтровывать содержимое обмена данными между защищенной рабочей средой и персональным устройством, а также подключенными к нему периферийными устройствами и буфером обмена — что особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза корпоративной информационной безопасности.
При этом немаловажно, что организации не приходится тратить время и силы на управление и контроль за персональными устройствами, благодаря чему сценарий предоставления терминального доступа к корпоративным ресурсам, защищенного с помощью DLP-технологий, может стать очень популярным.
На мировом DLP-рынке функциональными возможностями DLP-контроля терминальных сессий обладает не так много решений, при этом сертификацию разработчиков средств виртуализации (VMWare, Microsoft) и основного разработчика средств предоставления терминального доступа — Citrix— прошли считанные единицы во всем мире. Здесь с гордостью отметим, что программный комплекс отечественной разработки DeviceLock Endpoint DLP Suite обладает сертификатом VMware Ready (это партнерская программа компании VMware, призванная демонстрировать совместимость программных продуктов с инфраструктурой VMware Solution Exchange), а также успешно прошел сертификацию по программе Citrix Ready в 2012 г. и обновил сертификацию в 2015. Citrix Ready — это партнерская программа, позволяющая пользователям находить продукты независимых производителей, рекомендованные компанией Citrix Systems, Inc. как комплементарные и улучшающие возможности решений на базе платформы Citrix в области виртуализации, сетевых технологий и облачных вычислительных сред. Пользователи продуктов Citrix могут быть уверены, что DeviceLock DLP обеспечивает надежное предотвращение утечек данных из виртуальных рабочих столов и приложений в средах Citrix XenApp и XenDesktop. При этом совместная работа DeviceLock DLP с Citrix XenApp и XenDesktop значительно повышает уровень защищенности данных при организации удаленного доступа сотрудников к виртуализованным корпоративным рабочим столам и приложениям с любых типов персональных компьютеров, лэптопов, планшетов и смартфонов посредством использования приложения Citrix Receiver.
Реализованная в DeviceLock Endpoint DLP Suite технология Virtual DLP позволяет распространить функции защиты от утечек данных на множество типов виртуализованных ИТ-сред, включая сеансовый доступ к опубликованным приложениям, а также многопользовательским и персонализированным (VDI) рабочим столам, доступ к удаленным физическим компьютерам, работа на поточно загружаемых десктопах и использование локальных виртуальных машин поверх гипервизора. Virtual DLP обеспечивает гибкую контекстную и контентную фильтрацию потоков данных между сеансами опубликованных приложений и рабочих столов и перенаправленными в них периферийными устройствами, портами и буфером обмена удаленных терминальных BYOD-устройств. Кроме того, контекст и содержимое сетевых коммуникаций пользователей внутри терминальных сессий также контролируются DLP-механизмами DeviceLock. В результате обеспечивается полный контроль изолированной корпоративной среды, переданной на персональное устройство сотрудника, а также фильтрация и проверка обмена данными между виртуальной рабочей средой пользователя и его персональным BYOD-терминалом, периферийными устройствами и каналами сетевых коммуникаций.
